【基于802.1x認(rèn)證技術(shù)的應(yīng)用分析】一、引言
802.1x協(xié)議起源于802.11協(xié)議，后者是IEEE的無線局域網(wǎng)協(xié)議，制訂802.1x協(xié)議的初衷是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題 。IEEE802LAN協(xié)議定義的局域網(wǎng)并不提供接入認(rèn)證，只要用戶能接入局域網(wǎng)控制設(shè)備(如LANS witch)，就可以訪問局域網(wǎng)中的設(shè)備或資源 。這在早期企業(yè)網(wǎng)有線LAN應(yīng)用環(huán)境下并不存在明顯的安全隱患 。
隨著移動辦公及駐地網(wǎng)運(yùn)營等應(yīng)用的大規(guī)模發(fā)展，服務(wù)提供者需要對用戶的接入進(jìn)行控制和配置 。尤其是WLAN的應(yīng)用和LAN接入在電信網(wǎng)上大規(guī)模開展，有必要對端口加以控制以實(shí)現(xiàn)用戶級的接入控制，802.lx就是IEEE為了解決基于端口的接入控制(Port-Based Network Access Contro1)而定義的一個標(biāo)準(zhǔn) 。
二、802.1x認(rèn)證體系
802.1x是一種基于端口的認(rèn)證協(xié)議，是一種對用戶進(jìn)行認(rèn)證的方法和策略 。端口可以是一個物理端口，也可以是一個邏輯端口(如VLAN) 。對于無線局域網(wǎng)來說，一個端口就是一個信道 。802.1x認(rèn)證的最終目的就是確定一個端口是否可用 。對于一個端口，假如認(rèn)證成功那么就“打開”這個端口，答應(yīng)所有的報(bào)文通過；假如認(rèn)證不成功就使這個端口保持“關(guān)閉”，即只答應(yīng)802.1x的認(rèn)證協(xié)議報(bào)文通過 。
802.1x的體系結(jié)構(gòu)如圖1所示 。它的體系結(jié)構(gòu)中包括三個部分，即請求者系統(tǒng)、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器系統(tǒng)三部分：
圖1　802.1x認(rèn)證的體系結(jié)構(gòu)
1.請求者系統(tǒng)
請求者是位于局域網(wǎng)鏈路一端的實(shí)體，由連接到該鏈路另一端的認(rèn)證系統(tǒng)對其進(jìn)行認(rèn)證 。請求者通常是支持802.1x認(rèn)證的用戶終端設(shè)備，用戶通過啟動客戶端軟件發(fā)起802.lx認(rèn)證，后文的認(rèn)證請求者和客戶端二者表達(dá)相同含義 。
2.認(rèn)證系統(tǒng)
認(rèn)證系統(tǒng)對連接到鏈路對端的認(rèn)證請求者進(jìn)行認(rèn)證 。認(rèn)證系統(tǒng)通常為支持802.lx協(xié)議的網(wǎng)絡(luò)設(shè)備，它為請求者提供服務(wù)端口，該端口可以是物理端口也可以是邏輯端口，一般在用戶接入設(shè)備(如LAN Switch和AP)上實(shí)現(xiàn)802.1x認(rèn)證 。后文的認(rèn)證系統(tǒng)、認(rèn)證點(diǎn)和接入設(shè)備三者表達(dá)相同含義 。
3.認(rèn)證服務(wù)器系統(tǒng)
認(rèn)證服務(wù)器是為認(rèn)證系統(tǒng)提供認(rèn)證服務(wù)的實(shí)體，建議使用RADIUS服務(wù)器來實(shí)現(xiàn)認(rèn)證服務(wù)器的認(rèn)證和授權(quán)功能 。
請求者和認(rèn)證系統(tǒng)之間運(yùn)行802.1x定義的EAPO (Extensible Authentication Protocolover LAN)協(xié)議 。當(dāng)認(rèn)證系統(tǒng)工作于中繼方式時，認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間也運(yùn)行EAP協(xié)議，EAP幀中封裝認(rèn)證數(shù)據(jù)，將該協(xié)議承載在其它高層次協(xié)議中(如RADIUS)，以便穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器；當(dāng)認(rèn)證系統(tǒng)工作于終結(jié)方式時，認(rèn)證系統(tǒng)終結(jié)EAPoL消息，并轉(zhuǎn)換為其它認(rèn)證協(xié)議(如RADIUS)，傳遞用戶認(rèn)證信息給認(rèn)證服務(wù)器系統(tǒng) 。
認(rèn)證系統(tǒng)每個物理端口內(nèi)部包含有受控端口和非受控端口 。非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞EAPoL協(xié)議幀，可隨時保證接收認(rèn)證請求者發(fā)出的EAPoL認(rèn)證報(bào)文；受控端口只有在認(rèn)證通過的狀態(tài)下才打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù) 。
三、802.1x認(rèn)證流程
基于802.1x的認(rèn)證系統(tǒng)在客戶端和認(rèn)證系統(tǒng)之間使用EAPOL格式封裝EAP協(xié)議傳送認(rèn)證信息，認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間通過RADIUS協(xié)議傳送認(rèn)證信息 。由于EAP協(xié)議的可擴(kuò)展性，基于EAP協(xié)議的認(rèn)證系統(tǒng)可以使用多種不同的認(rèn)證算法，如EAP-MD5，EAP-TLS，EAP-SIM，EAP-TTLS以及EAP-AKA等認(rèn)證方法 。
以EAP-MD5為例，描述802.1x的認(rèn)證流程 。EAP-MD5是一種單向認(rèn)證機(jī)制，可以完成網(wǎng)絡(luò)對用戶的認(rèn)證，但認(rèn)證過程不支持加密密鑰的生成 ?；贓AP-MD5的802.1x認(rèn)證系統(tǒng)功能實(shí)體協(xié)議棧如圖2所示 。基于EAP-MD5的802.1x認(rèn)證流程如圖3所示，認(rèn)證流程包括以下步驟：

推薦閱讀

• 

  電腦驗(yàn)光單怎么看
• 

  東莞委托一個律師起訴如何收費(fèi)
• 

  開箱貨需要什么證件
• 

  黃字開頭的三字詞語有哪些
• 

  ?？迫ノ靼嘌懒魧W(xué)可以么
• 

  新商業(yè)險(xiǎn)車損包括哪些賠償?
• 

  緌的讀音 緌怎么讀
• 

  包貝爾演的富二代是什么電影 包貝爾富二代出自哪部電影
• 

  在職研究生可以一直考嗎
• 

  公眾號閱讀人數(shù)是如何統(tǒng)計(jì)的? 公眾號閱讀量怎么統(tǒng)計(jì)
• 

  班干部有哪些，小學(xué)班委有哪些
• 

  搞笑文字朋友圈封面 搞笑的圖片配字
• 

  液壓M口可連LS嗎
• 

  網(wǎng)上詐騙多少構(gòu)成犯罪
• 

  50萬買什么二手suv，求一輛價(jià)格在50萬之內(nèi)的SUV
• 

  第三季度是哪幾個月

• 基于射頻無線的數(shù)據(jù)采集系統(tǒng)及其應(yīng)用
• WCDMA成為3G主流標(biāo)準(zhǔn)
• 基于手機(jī)無線局域網(wǎng)的架構(gòu)與應(yīng)用
• Cookie是什么意思 Cookie是什么
• GPRS網(wǎng)絡(luò)結(jié)構(gòu)
• 什么是無線局域網(wǎng)Wi-Fi認(rèn)證？
• 基于網(wǎng)絡(luò)的嵌入式MPEG-2遠(yuǎn)程視頻監(jiān)控系統(tǒng)的實(shí)現(xiàn)
• 管理體系認(rèn)證是什么意思
• WiMAX技術(shù)應(yīng)用定位和優(yōu)勢
• 基于uCLinux的嵌入式無線IPSec VPN網(wǎng)關(guān)